1.3. Ответственность за несоблюдение законодательства о защите персональных данных

В настоящее время существует тенденция по ужесточению ответственности за несоблюдение персональных данных. На мой взгляд, это обуславливается развитием информационных технологий и увеличением количества баз, содержащих персональные данные.

В настоящее время законодателем установлены следующие вилы ответственности за несоблюдение правил сбора, обработки, передачи и хранения сведений, содержащих персональные данные:

1. В силу ст. 90 Трудового Кодекса РФ лица, виновные в нарушении положений законодательства РФ при обработке персональных данных работника, привлекаются:

- К дисциплинарной ответственности в виде замечания, выговора или увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ за однократное грубое нарушение трудовых обязанностей - разглашение персональных данных другого работника.

- К материальной ответственности в порядке, установленном Трудовым кодексом, а также к гражданско-правовой согласно Гражданским Кодексом РФ, на основании искового производства. В частности, работнику возмещаются причиненный имущественный ущерб, убытки и моральный вред.

- К административной ответственности.

2. В Кодексе об Административных Правонарушений Российской Федерации содержатся следующие виды ответственности:

- Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации.⁷ Штраф, за такое правонарушение назначается в виде штрафа, налагаемого на должностных лиц, в размере от 1 000 до 3 000 руб.

- Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)⁸ влечет за собой предупреждение или штраф: для должностных лиц - от 500 до 1 000 руб., для юридических - от 5 000 до 10 000 руб.

- Разглашение информации, доступ к которой ограничен федеральным законом (если ее разглашение не влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных ч. 1 ст. 14.33 КоАП РФ⁹ Нарушение данной нормы влечет за собой наложение на должностных лиц штрафа в размере от 4 000 до 5 000 руб.

Согласно ст. 23 Закона N 152-ФЗ органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона N 152-ФЗ и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

При этом дела об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ, возбуждаются прокуратурой.

3. Несоблюдение законодательства о защите персональных данных может преследоваться и уголовном законодательством. Уголовный Кодекс РФ предполагает ответственность:

- за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации ¹⁰;

- за неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан¹¹;

- за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее уничтожение, блокирование, модификацию либо копирование¹².

С 1 июля 2017 года законодатель существенно ужесточил ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ. Изменения затронули всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего с персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей).

По сравнению с предыдущей редакцией, вместо одного общего состава правонарушения установлено семь самостоятельных составов. Значительно увеличился размер штрафа. И сделано еще одно серьезное изменение: привлекать к административной ответственности по ст. 13.11 КоАП РФ с 1 июля 2017 г. теперь имеют право не прокуроры, а должностные лица Роспотребнадзора.

А теперь рассмотрим, за что и в каком размере теперь могут штрафовать работодателей в случае нарушения ими законодательства о персональных данных работников в соответствии со ст. 13.11 КоАП РФ.

Такое нарушение как обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 13.11 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, влечет предупреждение или наложение штрафа в размере до десяти тысяч рублей на должностных лиц и до пятидесяти тысяч рублей на юридических.

Нарушение в виде обработки персональных данных без письменного согласия работника на обработку его данных в случаях, когда согласие должно быть получено, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных, влечет наложение штрафа на должностных лиц в размере до двадцати тысяч рублей, у юридических лиц штраф может достигать семидесяти пяти тысяч рублей.

Невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных влечет за собой или предупреждение или наложение штрафа в размере до шести тысяч рублей на должностных лиц и до тридцати тысяч на юридических лиц.

Так же на должностных лиц накладывается штраф в размере до шести тысяч рублей, а на юридических лиц наложенный штраф может достигать сорока тысяч рублей за правонарушение, связанное с невыполнением оператором персональных данных обязанности по предоставлению их субъекту информации, касающейся обработки его персональных данных, влечет предупреждение или наложение штрафа.

Еще одним правонарушением, влекущим за собой штрафы в размере до десяти тысяч рублей для должностных лиц и до сорока пяти тысяч для юридических лиц, является невыполнение оператором в сроки, установленные законодательством, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении их материальных носителей и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет за собой наложение штрафа в размере до десяти тысяч рублей на должностных лиц и до пятидесяти на юридических лиц.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию данных влечет предупреждение или наложение на должностных лиц штрафа в размере от трех до шести тысяч рублей.